大家好。 期待课程的开始 我们为您准备了一篇有趣文章的翻译。
今天的教程将引导您了解该包的入门基础知识 了Aircrack-NG。 当然,不可能提供所有必要的信息并涵盖所有场景。 因此,请准备好自己做作业和研究。 在 和 还有许多附加教程和其他有用的信息。
虽然它没有涵盖从开始到结束的所有步骤,但该指南 更详细地揭示了与 了Aircrack-NG.
设置设备,安装Aircrack-ng
确保正常运行的第一步 了Aircrack-NG 在 Linux 系统上,方法是为您的网卡打补丁并安装适当的驱动程序。 许多卡可与多个驱动程序配合使用,其中一些提供了使用所需的功能 了Aircrack-NG,其他人则没有。
我想不言而喻,你需要一个与该包兼容的网卡 了Aircrack-NG。 即完全兼容、可以实现数据包注入的硬件。 使用兼容的网卡,您可以在不到一个小时的时间内破解无线接入点。
要确定您的卡属于哪个类别,请查看该页面 。 读 ,如果您不知道如何处理桌子。 但是,这不会妨碍您阅读手册,它将帮助您学习新知识并确保您的卡的某些属性。
首先,您需要知道您的网卡使用什么芯片组以及需要什么驱动程序。 您需要使用上一段中的信息来确定这一点。 在章节中 您将找到您需要的驱动程序。
安装aircrack-ng
最新版本的aircrack-ng可以从以下位置获取 ,或者您可以使用渗透测试发行版,例如 Kali Linux 或 Pentoo,它们具有最新版本 了Aircrack-NG.
要安装aircrack-ng,请参阅 .
IEEE 802.11 基础知识
好的,现在我们已经准备好了,是时候在开始之前停下来学习一两点关于无线网络如何工作的知识了。
理解下一部分很重要,这样您就可以找出是否某些内容未按预期工作的情况。 了解它是如何工作的将帮助您找到问题,或者至少正确地描述它,以便其他人可以帮助您。 这里的事情有点神秘,你可能想跳过这一部分。 然而,黑客攻击无线网络需要一点知识,因此黑客攻击只不过是输入一个命令并让 Aircrack 为您完成它。
如何找到无线网络
本部分简要介绍与接入点 (AP) 配合使用的托管网络。 每个接入点每秒发送大约 10 个所谓的信标帧。 这些包包含以下信息:
- 网络名称(ESSID);
- 是否使用加密(以及使用什么加密,但请注意,该信息可能并不真实,只是因为接入点报告了它);
- 支持哪些数据传输速率(以 MBit 为单位);
- 网络在什么频道?
这些信息显示在专门连接到该网络的工具中。 当您允许该卡使用以下方式扫描网络时会出现此信息 iwlist <interface> scan
每个接入点都有一个唯一的 MAC 地址(48 位,6 个十六进制对)。 它看起来像这样:00:01:23:4A:BC:DE。 每个网络设备都有一个这样的地址,网络设备使用它们相互通信。 所以这是一个独特的名字。 MAC 地址是唯一的,没有两个设备具有相同的 MAC 地址。
连接到网络
有多种连接无线网络的选项。 大多数情况下,使用开放系统身份验证。 (可选:如果您想了解有关身份验证的更多信息, .)
开放系统认证:
- 请求接入点身份验证;
- 接入点响应:好的,您已通过身份验证。
- 请求接入点关联;
- 接入点响应:好的,您已连接。
这是最简单的情况,但是当您没有访问权限时就会出现问题,因为:
- 使用 WPA/WPA2 并且需要 APOL 身份验证。 接入点将在第二步中拒绝。
- 接入点有一个允许的客户端(MAC 地址)列表,并且不允许其他任何人连接。 这称为 MAC 过滤。
- 接入点使用共享密钥身份验证,这意味着您需要提供正确的 WEP 密钥才能连接。 (参见部分 了解更多相关信息)
简单的嗅探和黑客攻击
网络发现
首先要做的就是找到一个潜在的目标。 aircrack-ng 软件包有这个功能 ,但您可以使用其他程序,例如, .
在搜索网络之前,您必须将卡切换到所谓的“监控模式”。 监控模式是一种特殊模式,允许您的计算机监听网络数据包。 该模式还允许注射。 下次我们再讨论注射。
要将网卡置于监控模式,请使用 :
airmon-ng start wlan0这样您将创建另一个界面并添加到其中 “星期一”。 所以, wlan0 将 无线网络监控。 要检查网卡是否确实处于监视模式,请运行 iwconfig 亲自看看。
然后,运行 搜索网络:
airodump-ng wlan0mon如果 空运 将无法连接到 WLAN 设备,您将看到类似以下内容:
从一个频道跳转到另一个频道,并显示它接收信标的所有接入点。 通道 1 至 14 用于 802.11 b 和 g 标准(在美国仅允许使用 1 至 11;在欧洲允许使用 1 至 13,但有一些例外;在日本允许使用 1 至 14)。 802.11a 在 5 GHz 频段运行,与 2,4 GHz 频段相比,其可用性因国家/地区而异。 一般来说,知名频道的编号从 36(某些国家/地区为 32)到 64(某些国家/地区为 68)以及 96 到 165。您可以在 Wikipedia 上找到有关频道可用性的更多详细信息。 在 Linux 中,它负责允许/拒绝您所在国家/地区的特定通道上的传输 ; 但是,必须对其进行相应配置。
当前频道显示在左上角。
一段时间后,将会出现接入点以及(希望)一些与其关联的客户端。
顶部块显示检测到的接入点:
bssid
接入点的 MAC 地址
PWR
选择频道时的信号质量
PWR
信号强度。 有些司机没有报告。
信标
收到的信标数量。 如果您没有信号强度指示器,则可以在信标中进行测量:信标越多,信号越好。
data
接收到的数据帧数
ch
接入点运行的信道
mb
速度或接入点模式。 11是纯802.11b,54是纯802.11g。 两者之间的值是混合值。
ENC
加密:opn:不加密,wep:wep加密,wpa:wpa或wpa2,wep?:wep或wpa(尚不清楚)
埃西德
网络名称,有时隐藏
底部块显示检测到的客户端:
bssid
客户端与此接入点关联的 MAC 地址
站
客户端本身的mac地址
PWR
信号强度。 有些司机没有报告。
包
接收到的数据帧数
探头
该客户端已测试的网络名称 (essids)
现在您需要监控目标网络。 至少必须有一个客户端连接到它,因为没有客户端的黑客网络是一个更复杂的主题(请参阅第 )。 它必须使用 WEP 加密并具有良好的信号。 您也许可以更改天线的位置以改善信号接收。 有时,几厘米对于信号强度来说可能是决定性的。
在上面的示例中,有一个网络 00:01:02:03:04:05。 事实证明,它是唯一可能的目标,因为它是唯一连接到客户端的目标。 它还具有良好的信号,使其成为适合练习的目标。
嗅探初始化向量
由于链路跳跃,您将无法捕获来自目标网络的所有数据包。 因此,我们希望只监听一个通道,并将所有数据写入磁盘,以便稍后可以使用它进行黑客攻击:
airodump-ng -c 11 --bssid 00:01:02:03:04:05 -w dump wlan0mon 使用参数 -с 您选择通道和参数后 -w 是写入磁盘的网络转储的前缀。 旗帜 –bssid 与接入点的 MAC 地址一起,将收到的数据包限制为单个接入点。 旗帜 –bssid 仅在新版本中可用 空运.
在破解 WEP 之前,您将需要 40 到 000 个不同的初始化向量 (IV)。 每个数据包包含一个初始化向量。 它们可以重复使用,因此向量的数量通常略小于捕获的数据包的数量。
因此,您将不得不等待捕获 40k 到 85k 数据包(带有 IV)。 如果网络不繁忙,这将需要很长时间。 您可以通过使用主动攻击(或重放攻击)来加速此过程。 我们将在下一部分讨论它们。
破坏
如果您已将足够的截获 IV 存储在一个或多个文件中,则可以尝试破解 WEP 密钥:
aircrack-ng -b 00:01:02:03:04:05 dump-01.cap 标志后的MAC地址 -b 是目标的 BSSID,并且 dump-01.cap 是一个包含截获数据包的文件。 您可以使用多个文件,只需将所有名称添加到命令中或使用通配符,例如 dump*.cap.
有关参数的更多信息 ,输出和使用你可以得到 .
破解密钥所需的初始化向量的数量是无限的。 发生这种情况是因为某些向量比其他向量更弱并且丢失更多关键信息。 通常这些初始化向量与更强的向量混合。 因此,如果幸运的话,只需 20 个 IV 就可以破解密钥。 然而,这往往还不够, 了Aircrack-NG 可能会运行很长时间(如果错误很高,则需要一周或更长时间),然后告诉您密钥无法破解。 拥有的初始化向量越多,黑客攻击发生的速度就越快,通常只需几分钟甚至几秒钟。 经验表明,40 – 000 个向量足以进行黑客攻击。
有更高级的接入点使用特殊算法来过滤弱 IV。 因此,您将无法从接入点获得超过 N 个向量,或者您将需要数百万个向量(例如 5-7 万个)来破解密钥。 你可以 在这种情况下该怎么办。
主动攻击
大多数设备不支持注入,至少在没有修补驱动程序的情况下是这样。 有些只支持某些攻击。 交谈 并查看专栏 aireplay。 有时此表不提供最新信息,因此如果您看到该词 “没有” 在你的司机对面,不要难过,而是看看司机的主页,司机的邮件列表 。 如果您能够使用未包含在支持列表中的驱动程序成功重放,请随时在兼容性表页面上提出更改建议,并添加指向快速入门指南的链接。 (为此,您需要在 IRC 上请求一个 wiki 帐户。)
首先,您需要确保数据包注入确实适用于您的网卡和驱动程序。 最简单的检查方法是进行测试注入攻击。 在继续之前,请确保您通过了此测试。 您的卡必须能够注入才能完成以下步骤。
您将需要不按 MAC 地址(例如您自己的)过滤且在可用范围内的接入点的 BSSID(接入点的 MAC 地址)和 ESSID(网络名称)。
尝试使用以下方式连接到接入点 :
aireplay-ng --fakeauth 0 -e "your network ESSID" -a 00:01:02:03:04:05 wlan0mon 之后的意思 -а 将是您的接入点的 BSSID。
如果您看到类似这样的内容,则说明注射有效:
12:14:06 Sending Authentication Request
12:14:06 Authentication successful
12:14:06 Sending Association Request
12:14:07 Association successful :-)如果不是:
- 仔细检查ESSID和BSSID的正确性;
- 确保您的接入点禁用 MAC 地址过滤;
- 在另一个接入点上尝试同样的操作;
- 确保您的驱动程序已正确配置并受支持;
- 尝试使用“0 -o 6000 -q 1”代替“10”。
ARP 重播
现在我们知道数据包注入是有效的,我们可以做一些可以大大加快拦截 IV 的事情:注入攻击 .
中心思想
简单来说,ARP 的工作原理是向 IP 地址广播请求,然后具有该 IP 地址的设备发回响应。 由于 WEP 不能防止重播,因此只要数据包有效,您就可以嗅探数据包并一遍又一遍地发送它。 因此,您只需要拦截并重放发送到接入点的 ARP 请求即可生成流量(并获取 IV)。
懒惰的方式
首先打开一个窗口 空运,它将嗅探流量(见上文)。 播放 и 空运 可以同时工作。 等待客户端出现在目标网络上并开始攻击:
aireplay-ng --arpreplay -b 00:01:02:03:04:05 -h 00:04:05:06:07:08 wlan0mon-b 指向目标BSSID, -h 到已连接客户端的 MAC 地址。
现在您需要等待 ARP 数据包到达。 通常您需要等待几分钟(或进一步阅读文章)。
如果你幸运的话,你会看到类似这样的东西:
Saving ARP requests in replay_arp-0627-121526.cap
You must also start airodump to capture replies.
Read 2493 packets (got 1 ARP requests), sent 1305 packets...如果需要停止播放,则不必等待下一个 ARP 数据包到达,只需使用参数即可使用之前捕获的数据包 -r <filename>
使用ARP注入时,可以使用PTW方法破解WEP密钥。 它显着减少了所需软件包的数量,以及破解它们的时间。 您需要捕获完整的数据包 空运,即不使用该选项 “--ivs” 执行命令时。 为了 了Aircrack-NG 使用 “aircrack -z <file name>”
如果收到的数据包数量 空运 停止增加,您可能必须降低播放速度。 使用参数执行此操作 -x <packets per second>
进攻方式
大多数操作系统在关闭时都会清除 ARP 缓存。 如果他们需要在重新连接后发送下一个数据包(或仅使用 DHCP),则会发送 ARP 请求。 副作用是,您可以在重新连接期间嗅探 ESSID 以及可能的密钥流。 如果目标的 ESSID 被隐藏或者使用共享密钥身份验证,这会很方便。
让他 空运 и 播放 在工作中。 打开另一个窗口并运行 :
这是 -a – 这是接入点的 BSSID, -с 所选客户端的 MAC 地址。
等待几秒钟,ARP 重放就会起作用。
大多数客户端都会尝试自动重新连接。 但有人识别出此攻击或至少关注 WLAN 上发生的情况的风险高于其他攻击。
更多工具和有关它们的信息,您 .
来源: habr.com